Fencing技术在vCloud中的应用

在云计算平台的安全防护技术中，最重要的就是隔离保护技术，VMware在去年下半年发布了云基础架构解决方案套件，其中包括用于解决云安全问题的vShield组件，它可以和vCloud Director组件一起协同工作，在多租户的云环境下提供便捷有效的隔离保护功能。下面我将以vShield如何vCloud中的虚拟应用(vApp)为例，来向大家介绍vShield在云环境中的具体用法。

在一个多租户的云环境中，主要存在三种不同类型的网络，分别是公共网络，组织网络和虚拟应用网络，为了保证系统、应用和数据的安全，用户可能希望在两个网络之间实现安全隔离，同时，基于云平台自服务的特性，用户会要求自主完成安全防护的设计，部署与管理。借助于vCD和vShield Edge解决方案，基于vCloud来构建云平台的服务提供者可以满足用户的上述要求，下边我们来看一下如何实现。

实验拓扑图如下：

•vApp1和vApp2直接连接到组织网络1(192.168.1.0/24)

•vApp3采用Fenced方式(vShield Edge隔离)连接到组织网络1

•vApp4先连接到routed_apps网络(192.168.2.0/24)，再通过vShield Edge连接到组织网络1



vApp1与vApp2是第一种情况，直接连接到组织网络，无vShield Edge

vApp3采用Fenced方式连接到组织网络，vShield Edge两边是同一子网，vShield Edge提供NAT和ARP-Proxy功能。

vApp4直连到routed_apps网络，再通过vShield Edge路由到组织网络，vShield Edge提供路由，NAT和DHCP功能。













vApp采用直连方式接入组织网络的实现

创建vApp时选择组织网络作为vApp内部虚拟机所连接网络。

在网络配置页面上不要选择“Fence vApp”复选框。





vApp采用Fenced方式接入组织网络的实现

创建vApp时选择组织网络作为vApp内部虚拟机所连接网络。

在网络配置页面上选择“Fence vApp”复选框。





vApp采用Routed方式接入组织网络的实现

创建vApp时选择“Add Network”，指定新建网络的地址和名称等参数。

在网络配置页面上选择“Show networking details”复选框，连接新建网络到组织网络。





直连模式下的通讯验证

vApp1与vApp2直接连接到组织网络，相互之间可以直接通讯，无网络隔离。

根据ARP表可知，vApp1和vApp2中的主机通过ARP协议直接获得对方MAC地址。

Fenced模式下的通讯验证

vApp3通过vShield Edge连接到组织网络，vShield Edge提供Firewall和NAT功能。

根据vApp01,vApp02和vApp03中三台虚拟机上的ARP输出可知，vShield Edge提供了Proxy-ARP功能，以保证内外网之间的主机可以正常通讯。

vShield Edge也提供了NAT功能，vApp03中主机的内部地址为192.168.1.100,外部地址为192.168.1.104(vShield Edge的内外口地址分别为192.168.1.101和192.168.1.103)

Routed模式下的通讯验证

vApp4通过vShield Edge连接到组织网络，vShield Edge提供Firewall和NAT功能。

vApp4中的主机IP地址为192.168.2.100，被NAT映射为192.168.1.107。

vShield Edge的内外口地址分别为192.168.2.1(Gateway)和192.168.1.106。

vShield Edge也提供了Firewall和DHCP功能。

Fenced与Routed两种连接方式比较接近，该如何进行选择？

下述情况使用Fenced模式

组织网络地址资源够用，不想创建新的网段。

下述情况使用Routed模式

非vApp外连网络(Fenced模式只支持vApp网络)。

上级网络地址资源不足，需要创建新的网段以扩充可用地址。

想保持vApp内部已配置的主机地址不变。

需要使用DHCP功能为内部主机分配地址。

[完]